FortiOS 3.0 部分网站及MSN无法登陆解决方法

转载请保留作者信息及出处。

测试环境：fortios 3.0 MR2.

防火墙策略没有做任何防病毒过滤及保护内容表动作。

现象：MSN无法登陆，部分网站同样也无法访问。

 

一开始我使用的版本为FortiOS 2.8 MR11 build 489，MSN和部分网站可以访问，没有问题，升级到3.0版本后，配置没变，但MSN和部分网站无法登陆，首先，给我的第一印象可能是版本BUG问题，与厂商的工程师联系，厂商的工程师也未置可否。郁闷，这也太不负责了，做为厂商的工程师怎么能如此不专业。

 

没有办法，借此机会可以好好了解一下3.0版本里面的东东，记得以前在CISCO路由器上也遇到过此类的问题，上网查查和咨询了相关的技术支持，大概是需要设置TCP-MSS的值。

 

在sectao网站查到关于tcp-mss的相关解释如下：

The command set flow all-tcp-mss is used in cases where fragmentation can cause performance problems. This will modify the maximum segment size (MSS) low enough below the Maximum Transmission Unit (MTU) so that fragmentation will not occur. A packet with the payload size plus all associated overhead must not exceed the MTU. Otherwise, fragmentation will occur. Overhead can include mac headers, ethernet headers, CRC, encryption, and PPPoE. The set flow all-tcp-mss applies to clear-text traffic, while set flow tcp-mss applies to VPN traffic only.

The set flow all-tcp-mss is required when using PPPoE, as PPPoE adds considerable overhead, and fragmentation will occur if the set flow all-tcp-mss command is not enabled. There are also some instances where a router may not be handling fragmentation properly. In these instances, set flow all-tcp-mss may help. For example, if accessing a web site, and not all images are drawn, this symptom could be due to fragmentation. Applying the set flow all-tcp-mss can resolve this issue.

 

是否在Fortigate防火墙也可以这么做呢，我记得在fortios 2.8 CLI下面没有相关的命令，不知道在3.0版本下有没有呢，便想试试。

果然，有此类的命令，便感到一线生机。
Fortigate-100 # config system interface

(interface)# edit internal

(internal)# set tcp-mss 1448

(internal)# end

执行相关的设置后，我可爱的MSN竟然摇摇晃晃上去了。

oooooooooooooo :)

哦耶。。。。